MCP 서버 인증·암호화 없이 무방비 노출…AI 보안 위협 현실로

[아이티데일리] 인공지능(AI) 시대를 맞아 급속히 확산되고 있는 ‘모델 컨텍스트 프로토콜(Model Context Protocol, MCP)’ 서버들이 심각한 보안 취약점을 안고 있는 것으로 조사됐다. 지난 17일 트렌드마이크로는 보안 연구 보고서를 통해 현재 웹상 노출된 것으로 파악되는 492대의 MCP 서버 모두가 클라이언트 인증이나 트래픽 암호화 없이 운영되고 있으며, 공격자들이 이를 악용할 경우 기업의 핵심 데이터와 시스템에 무제한 접근이 가능한 상황이라고 지적했다.

MCP는 2024년 말 앤트로픽(Anthropic)이 도입한 표준 프로토콜로, AI 모델과 외부 데이터 소스를 연결하는 ‘AI용 USB-C’로 불리며 급속히 확산되고 있다. 하지만 현재 웹상에서 발견된 MCP 서버들은 기본적으로 인증이 필요하지 않은 설계로 돼 있어, 공격자가 자연어만으로도 민감한 정보를 탈취할 수 있는 치명적 구조를 갖고 있다.

특히 우려되는 점은 이들 서버가 접근하는 1,402개의 MCP 도구 중 90% 이상이 데이터 소스에 대해 직접 읽기 권한을 갖고 있다는 사실이다. 트렌드마이크로 연구원들은 “이는 코딩 지식 없이도 자연어를 통해 기업의 기밀 정보, 고객 데이터, 영업 비밀에 접근할 수 있다는 의미”라고 설명했다. 심지어 492대의 MCP 서버 중 8대는 CSP(클라우드 서비스 제공사) 자원을 직접 관리하고 있어 해킹 시 연결된 클라우드 자원의 생성, 수정, 삭제까지 가능한 것으로 파악됐다.

MCP 서버 보안 취약성 잇달아 지적

트렌드마이크로 연구 보고서에 따르면 노출된 MCP 서버의 74%가 아마존웹서비스(AWS), 마이크로소프트 애저(Microsoft Azure), 구글 클라우드 플랫폼(GCP), 오라클(Oracle) 등 주요 클라우드 서비스 제공업체에 호스팅돼 있었다. 트렌드마이크로 연구진은 “클라우드 환경은 광범위한 네트워크 접근성을 제공하지만, MCP 서버의 무인증 구조와 결합함으로써 단일 취약점을 통한 대규모 데이터 유출 위험이 급격히 증가하게 됐다”고 지적했다.

트렌드마이크로 뿐만 아니라 같은날 미국과 이스라엘에 본사를 둔 AI 보안 스타트업 노스틱(Knostic)도 MCP 서버의 심각한 보안 현실을 지적했다. 인터넷에 연결된 장비들을 검색할 수 있는 쇼단(Shodan)과 맞춤 제작된 파이썬 도구를 활용해 조사한 결과, 인터넷에 노출된 MCP 서버를 총 1,862대 발견한 것이다. 특히 샘플링 후 수동 검증한 119대 서버 모두가 인증 없이 내부 도구 목록에 접근을 허용하는 것으로 확인돼 충격을 줬다.

이에 앞서 지난 9일에는 데브옵스(DevOps) 플랫폼 제공 기업 제이프로그(JFrog)의 보안 연구팀도 MCP 서버의 보안 취약점을 지적했다. ‘CVE-2025-6514’ 번호까지 붙은 취약점으로, 이는 MCP 생태계의 위험성을 극명하게 보여주는 예로 꼽힌다. 이 취약점은 MCP 클라이언트가 신뢰할 수 없는 원격 MCP 서버에 연결할 때 임의로 운영체제 명령의 삽입·실행을 허용하는 치명적 결함으로, CVSS 점수 9.6의 크리티컬 등급을 받았다. 특히 윈도우(Windows) 환경에서 완전한 임의 명령 실행이 가능하며, 맥OS(macOS)와 리눅스(Linux)에서도 제한적이지만 실행 파일 구동이 가능한 것으로 알려졌다.

MCP 취약점을 이용하는 공격자들은 정상적 MCP 서버인 것처럼 위장한 악성 서버를 만들어 사용자들을 속이려 하고 있다. 특히 초기에 정상적으로 서비스를 제공하다 이후 악성 코드로 업데이트하는 ‘러그 풀(Rug-Pull)’ 공격 기법이 성행하는 것으로 파악됐다. 문제는 이러한 기법들이 보안 업계에서는 다소 기초적인 것으로 분류되는 방법들이라는 점에서 전문가들의 우려가 크다는 것이다.

일례로 이탈리아의 AI 기반 API 보안 플랫폼 기업 에퀵슬리(Equixly)는 지난 3월 29일 연구 보고서를 통해 구현된 MCP 서버에서 원격 코드 실행(RCE) 취약점이 다수 발견되고 있다고 경고했다. 연구 결과 테스트된 MCP 구현체의 43%에서 명령어 주입(Command Injection) 취약점이 발견됐으며, 30%는 SSRF(서버 측 요청 위조) 취약점을 통해 URL을 제한 없이 가져올 수 있도록 허용했고, 22%는 의도된 디렉토리 외부의 파일에 접근할 수 있도록 허용했다는 것이다. 이에 대해 에퀵슬리 측은 “2025년 현재에 RCE 취약점이 발견되고 있다는 사실에 진심으로 놀랐다. 마치 보안이 퇴보하고 있는 듯한 느낌이다. 이런 기본적 취약점들이 현대 기술에서 다시 등장하고 있다는 것은 매우 우려스러운 일”이라고 밝혔다.

이스라엘의 애플리케이션 보안 업체인 백슬래시 시큐리티(Backslash Security)도 지난 6월 25일 MCP 서버의 취약점 현황을 분석한 결과를 발표했는데, 7천 대 이상의 MCP 서버를 조사한 결과 수백여 대가 로컬 네트워크의 모든 사용자에게 노출되는 ‘네이버잭(NeighborJack)’ 취약점을 갖고 있으며, 약 70대가 심각한 수준의 결함을 보유했다고 분석했다.

취약한 기본 설계가 문제…위협 인지하고 즉각 대응해야

MCP 서버의 근본적 문제는 기본 설계에서 찾을 수 있다. MCP 아키텍처가 기본적으로 클라이언트 인증을 요구하지 않으며, 오쓰(OAuth) 토큰 위임도 지원하지 않아 역할 기반 접근 제어(RBAC)가 불가능하다는 게 트렌드마이크로의 분석이다. 이러한 점들이 여러 공격 벡터를 만들어내고 있고, 기본으로 취급되는 보안 원칙을 위반하는 것이기도 하다.

가장 위험한 시나리오는 데이터 소스 자격 증명이 서버 구성에 하드코딩돼 있고, MCP 서버가 공용 네트워크 인터페이스에 바인딩되며, 서버에 연결하는 모든 클라이언트가 동일한 권한을 위임받는 구조다. 실제 마이크로소프트가 4월 16일 발표한 연구를 보면, MCP 서버가 고객 데이터베이스에 직접 접근 권한을 가진 채로 운영되고 있어 컨테이너의 단일 취약점이 전체 데이터 유출로 이어질 가능성이 있는 것으로 확인됐다.

트렌드마이크로는 MCP 서버의 보안 문제가 기술적 취약점을 넘어 기업 거버넌스 차원에서도 심각한 우려를 야기한다고 지적했다. 시스템이 침해되면 공격자의 행동이 신뢰할 수 있는 서비스 계정에서 발생한 것으로 나타나 추적이 어렵고, 사용자별 접근 로깅 요구사항을 충족하지 못해 컴플라이언스 위반이 발생하게 된다. 특히 악의적 활동이 특정 사용자로부터 발생하는 것을 추적하는 것이 어려워져 포렌식에 큰 걸림돌이 된다. 이는 기업의 보안 사고 대응과 법적 대응 능력을 심각하게 제약하는 요소로 작용한다.

전문가들은 MCP 서버의 보안 위험을 완화하기 위한 즉각적이고 포괄적인 대응이 필요하다고 강조한다. 트렌드마이크로 측은 “우선적으로 네트워크 노출이 필요한지 검토하고, 모든 네트워크 통신에 TLS 암호화를 구현하며, 네트워크 노출 시에는 적절한 인증이나 오쓰(OAuth) 위임을 포함한 리버스 프록시를 사용할 것”을 권고하면서 “하드코딩된 자격 증명을 완전히 제거하고, 클라이언트로부터 데이터 소스 접근을 위한 오쓰 토큰 자격 증명을 선호해야 하며, 토큰 서명과 만료를 검증하는 것이 필수적이다. 장기적으로는 요청 수준의 권한 확인 추가, 모든 MCP 작업 모니터링 및 로깅, 보안 비밀 관리 솔루션 배포, 자격 증명 순환 정책 구현, 단기간 범위 지정 접근 토큰 사용 등이 필요하다”고 덧붙였다.